Dipende da come lo hai impostato. Se consenti le richieste di origine incrociata da qualsiasi dominio, un utente malintenzionato che trova gli URL delle immagini può fare qualsiasi cosa tu possa fare all'interno della tua applicazione Javascript: la sicurezza è esattamente la stessa di quella che hai. Se si limitano le richieste al server applicazioni specifico, non dovrebbero essere in grado di fare nulla, proprio come non è possibile al momento.
CORS ha lo scopo di prevenire attacchi lato client come il caricamento di un'immagine che il sito remoto non può vedere (con un tag immagine su un server di Facebook, ad esempio), quindi copiare il contenuto sul proprio server senza che il client sia consapevole. Pertanto, la situazione che descrivi è esattamente ciò che gestisce bene.
In questo caso, è più importante che tutte le funzioni per salvare le immagini modificate sul server siano sicure, poiché potrebbero comportare compromissione del server o semplicemente siti di terze parti che utilizzano il sistema come modo per memorizzare le immagini. Non dimenticare che anche con CORS abilitato, un utente malintenzionato può caricare facilmente le immagini direttamente dal tuo server se non si eseguono le opportune procedure di autenticazione, ad esempio eseguendo un comando cURL sull'URL dell'immagine.